我应该如何设置我的安全组,这样黑客才不会轻易渗透
How should I set up my security groups so that hackers will not infiltrate so easily
所以我在 AWS 上有一个 EC2 实例,它运行 Mongodb。几个月来我一直在与黑客打交道,我似乎无法弄清楚如何将他们拒之门外。幸好我身上没有重要的东西。
我确实注意到我在 AWS 上的安全组基本上是对所有人开放的。比如我的入站规则:
端口 80,TCP,0.0.0.0/0
端口 8080,TCP,0.0.0.0/0
全部端口,tcp,0.0.0.0/0
端口 22,TCP,0.0.0.0/0
端口 27017,TCP,0.0.0.0/0
端口 443,TCP,0.0.0.0/0
如果我更改源代码,是否有我应该遵循的约定?我应该如何设置源?我对此很陌生,因为我没有设置我的安全组。只是想弄清楚我如何才能阻止黑客。他们已经进行了一段时间了。
0.0.0.0/0表示端口允许从互联网上的任何地方连接。
如果设置源,则只有源(无论是IP还是ups范围)才能访问端口。
如何设置源取决于您的需要。
理想情况下,您的数据源应该只允许来自受信任的内部 IP 的访问。删除所有 tcp 端口的完全访问权限。只保留 27017 并将其映射到访问您系统的 IP 地址。对于网络访问,最好配置一个反向代理并通过该代理访问它。
如果您是唯一一个访问EC2实例的人,您可以编辑您的安全组并选择"My IP"作为源,然后只有您可以访问它,而黑客将无法访问。
最好将命令和控制端口(22、3389 等)限制为只能从已知网络访问,例如您的家庭、VPN IP 池或公司网络。
所以我在 AWS 上有一个 EC2 实例,它运行 Mongodb。几个月来我一直在与黑客打交道,我似乎无法弄清楚如何将他们拒之门外。幸好我身上没有重要的东西。
我确实注意到我在 AWS 上的安全组基本上是对所有人开放的。比如我的入站规则:
端口 80,TCP,0.0.0.0/0 端口 8080,TCP,0.0.0.0/0 全部端口,tcp,0.0.0.0/0 端口 22,TCP,0.0.0.0/0 端口 27017,TCP,0.0.0.0/0 端口 443,TCP,0.0.0.0/0
如果我更改源代码,是否有我应该遵循的约定?我应该如何设置源?我对此很陌生,因为我没有设置我的安全组。只是想弄清楚我如何才能阻止黑客。他们已经进行了一段时间了。
0.0.0.0/0表示端口允许从互联网上的任何地方连接。
如果设置源,则只有源(无论是IP还是ups范围)才能访问端口。
如何设置源取决于您的需要。
理想情况下,您的数据源应该只允许来自受信任的内部 IP 的访问。删除所有 tcp 端口的完全访问权限。只保留 27017 并将其映射到访问您系统的 IP 地址。对于网络访问,最好配置一个反向代理并通过该代理访问它。
如果您是唯一一个访问EC2实例的人,您可以编辑您的安全组并选择"My IP"作为源,然后只有您可以访问它,而黑客将无法访问。
最好将命令和控制端口(22、3389 等)限制为只能从已知网络访问,例如您的家庭、VPN IP 池或公司网络。